基于權(quán)限利用的Android應(yīng)用程序隱私保護(hù)研究.pdf

1、隨著Andorid手機(jī)越來(lái)越流行，Android系統(tǒng)的安全問(wèn)題也越來(lái)越受到重視。人們使用Android智能手機(jī)進(jìn)行語(yǔ)音通話、收發(fā)短信、處理各類(lèi)信息、娛樂(lè)以及社交，享受著智能手機(jī)帶來(lái)的便捷性，但是同時(shí)用戶的個(gè)人隱私也面臨著被攻擊泄露的風(fēng)險(xiǎn)。當(dāng)下，惡意軟件最多的智能手機(jī)操作系統(tǒng)平臺(tái)是Android系統(tǒng)，惡意軟件主要的攻擊目標(biāo)也是竊取用戶的隱私信息。因此，怎樣保障存儲(chǔ)在用戶Android手機(jī)中的隱私信息成為了人們的討論和研究熱點(diǎn)。
　　

2、本文從Android系統(tǒng)中權(quán)限盜用和API濫用的角度出發(fā)，對(duì)合法的Android ROM和應(yīng)用程序重新進(jìn)行檢測(cè)，排除可能存在的隱私泄露的風(fēng)險(xiǎn)。本文的主要工作包括以下兩方面：
　　第一、本文發(fā)現(xiàn)一種潛在的獲取手機(jī)中隱私信息的攻擊方法。該方法針對(duì)Android應(yīng)用程序自簽名的機(jī)制，利用AOSP（Android Open Source Project）公開(kāi)簽名漏洞，獲取預(yù)裝軟件權(quán)限，竊取手機(jī)的隱私信息。針對(duì)此漏洞，本文提出了一種快速檢測(cè)

3、方法，可以同時(shí)逆向多個(gè)應(yīng)用程序，并檢查簽名信息，快速檢測(cè)漏洞。實(shí)驗(yàn)結(jié)果發(fā)現(xiàn)，在市場(chǎng)上較為流行的Android ROM中，幾款重要的系列均存在AOSP漏洞，如CM、MIUI等。本文提出的方法，檢測(cè)一個(gè)ROM僅需9~10分鐘，可以快速有效的檢測(cè)出ROM是否存在漏洞，并且通過(guò)有效的方法，證明漏洞可以被直接利用。
　　第二、將機(jī)器學(xué)習(xí)與Android惡意程序檢測(cè)結(jié)合起來(lái)，檢測(cè)可能存在的應(yīng)用程序中不合法的API調(diào)用。先收集官網(wǎng)上Androi